技术简介:
本专利针对传统流量限制方法在小报文攻击中失效的问题,提出通过设定设备可处理的最小报文长度,当实际报文长度小于该值时,以最小长度替代实际长度计算流量,从而提前触发防御机制,有效限制攻击流量。该方法通过动态调整流量计算方式,解决了小报文攻击导致设备资源异常占用的问题,提升了网络设备的抗攻击能力。
关键词:小报文攻击防范,流量限制,设备处理长度
专利名称:防范小报文攻击的方法和装置的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种防范网络攻击的方法和装置。
背景技术:
拒绝服务DoS(Denial of Service,简称DoS)在广义上可以指任何导致服务器不能正常提供服务的攻击。最常见的DoS攻击是利用大量的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或连接数。因为任何资源都有一定的限制,所以无论计算机的处理速度多么快、内存容量多么大、与互连网连接的带宽多么高,都无法避免这种攻击带来的后果。另外一种常见的DOS攻击是通过欺骗伪装等方法使得提供服务资源的主机出现错误响应,从而使其停止提供服务甚至崩溃。
分布式拒绝服务DDoS(Dist ributed Denial of Service,简称DDoS)攻击是DoS攻击的加强形式。DoS攻击是以一台接入互联网的单机向目标发动攻击,消耗目标主机或者网络的资源,从而干扰或者完全阻止为合法用户提供服务,而DDoS攻击采用大量分布的主机对单个或多个目标进行攻击。
针对DOS攻击和DDoS攻击,网络设备通常使用流量限制(限制单位时间内上送设备的报文字节数)功能进行DOS攻击防范。
网络设备的流量限制功能是通过限定单位时间内上送的数据流大小来达到保护设备的目的,但因构成数据流的报文是存在大小区别的,所以在相同的数据流的情况下,如果组成数据流的报文大小存在巨大差异,可能会导致单位时间内上送网络设备的报文个数存在巨大差异,因报文个数的巨大差异通常会导致对网络设备资源占用的差异,从而导致了在相同数据流大小限定的情况下出现网络设备攻击防范功能的差异。比如,攻击者通常会抓住这个漏洞,短时间内向网络设备发送大量的超小报文,致使传统的基于数据流流量大小限制的防攻击防范效果下降、甚至防范功能瘫痪。
发明内容本发明的实施方式提供防范小报文攻击的方法和装置,解决目前通信网络中无法防范小报文攻击的问题。
本发明解决上述技术问题的一个实施方式是一种防范小报文攻击的方法,包括以下步骤确定设备可处理的报文的最小长度和数据流流量限制值;将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。
本发明解决上述技术问题的另一个实施方式是一种防范小报文攻击的装置,包括接收单元、比较单元和处理单元,其中,接收单元用于接收其他设备发来的报文,并获取该接收到的报文的实际长度;比较单元将该接收到的报文的实际长度与确定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果所述接收到的报文的实际长度小于设定的设备可处理的报文的最小长度,则使用所述最小长度计算数据流流量;处理单元根据数据流的流量和设备的数据流流量限制值确定是否采取攻击防范措施。
与现有技术相比,本发明实施方式提供的技术方案中,由于当设备收到的是长度小于设备可处理的报文的最小长度的小报文时,设备在计算流量的时候并没有使用该收到的报文的实际长度,而是使用了比它大的预先确定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的。当数据流的流量达到所述数据流流量限制值时,设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
图1为本发明一个实施方式的防范小报文攻击的方法流程图;图2为本发明另一实施方式的防范小报文攻击的装置的结构框图。
具体实施例方式以下结合
具体实施方式来说明本发明的实现过程。
请参阅图1,为在本发明一个实施方式的防范小报文攻击的方法流程图。该方法包括以下步骤用户根据网络设备业务的特征确定设备可处理的报文的最小长度;同时,在设备接口上设置承诺速率限制(committed access rate,简称CAR),将数据流的流量限制在一个范围之内,允许其适量的通过,同时保证了其它数据流的正常通过。
此处,设定设备可处理的报文的最小长度时,可以根据特定设备处理的业务本身的要求来设定,比如地址解析协议(Address Resolution Protocol,ARP)报文的最小长度为42字节,即ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,可以设定处理ARP报文的设备的可处理的报文的最小长度为42字节,或者根据经验设置更小的长度值。
网络设备在接收到报文后,获取报文的实际长度;进行报文长度判断,并依据判断结果进行数据流流量计算。
具体判断方法为如果报文的实际长度大于或等于设定的设备可处理的报文的最小长度,则按照报文的实际长度计算数据流流量;如果报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量。
由于当设备收到的是长度小于所述最小长度的小报文时,设备在计算流量的时候并没有使用该收到的报文的实际长度,而是使用了比它大的预先设定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的。这样,当该数据流的流量达到流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该流量限制值之内,同时保证其他数据流的正常通过。因此采用该方法,可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
上述实施方式所述的方法可以适用于在防火墙、路由器、以太网交换机、宽带接入设备上实现,也可以在其他设备上使用此方案。
本发明的另一实施方式提供一种防范小报文攻击的装置,该装置包括接收单元、比较单元和处理单元。其中,接收单元接收其他设备发来的业务报文,并获取该报文的实际长度,比较单元将该业务报文的实际长度与设定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果报文的实际长度大于或等于设定的设备可处理的报文的最小长度,则按照报文的实际长度计算数据流流量;如果报文的实际长度小于用户设定的设备可处理的报文的最小长度,则使用设定的设备可处理的报文的最小长度计算数据流流量。
处理单元根据上述比较单元计算得到的数据流流量值来确定是否启动攻击防范措施。当数据流的流量达到数据流流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该数据流流量限制值以下,同时保证其他数据流的正常通过。
当设备收到的是长度小于设备可处理的报文的最小长度的小报文时,设备在计算流量的时候并没有使用该报文的实际长度,而是使用了比它大的用户设定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的,这样,当数据流的流量达到数据流流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该数据流流量限制值之内,同时保证其他数据流的正常通过。因此该防范小报文攻击的装置可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
以上所述,仅为本发明较佳的
具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求1.一种防范小报文攻击的方法,其特征在于,包括以下步骤确定设备可处理的报文的最小长度和数据流流量限制值;将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。
2.如权利要求1所述的方法,其特征在于,所述最小长度根据设备业务的特征确定。
3.如权利要求2所述的方法,其特征在于,所述最小长度不大于设备业务的特征所要求的最小值。
4.如权利要求1所述的方法,其特征在于,如果所述接收到的报文的实际长度大于或等于所述最小长度,则按照报文的实际长度计算数据流流量。
5.如权利要求1所述的方法,其特征在于,所述设备将启动的防范措施为将该数据流的流量限制在该数据流流量限制值以下,并允许其他的数据流正常通过。
6.如权利要求1所述的方法,其特征在于,所述设备是防火墙或路由器或以太网交换机或宽带接入设备。
7.一种防范小报文攻击的装置,其特征在于,包括接收单元、比较单元和处理单元,其中,接收单元用于接收其他设备发来的报文,并获取该接收到的报文的实际长度;比较单元将该接收到的报文的实际长度与确定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;处理单元根据数据流的流量和设备的数据流流量限制值确定是否采取攻击防范措施。
8.如权利要求7所述的装置,其特征在于,所述最小长度根据设备业务的特征确定。
9.如权利要求8所述的装置,其特征在于,所述最小长度不大于设备业务的特征所要求的最小值。
10.如权利要求7所述的装置,其特征在于,如果所述接收到的报文的实际长度大于或等于所述最小长度,则按照报文的实际长度计算数据流流量。
11.如权利要求7所述的装置,其特征在于,所述设备是防火墙或路由器或以太网交换机或宽带接入设备。
全文摘要本发明涉及通信领域,尤其涉及一种防范网络攻击的方法和装置。本发明提供防范小报文攻击的方法和装置,解决目前通信网络中无法防范小报文攻击的问题。该方法包括确定设备可处理的报文的最小长度和数据流流量限制值;将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。采用本发明的实施方式的技术方案,可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文的有效攻击防范。
文档编号H04L12/56GK101034975SQ20071007397
公开日2007年9月12日 申请日期2007年4月5日 优先权日2007年4月5日
发明者赵志旺, 孙胜涛 申请人:华为技术有限公司